六个建议防止SQL注入式攻击.docVIP

六个建议防止SQL注入式攻击SQL注入攻击的危害性很大。在讲解其防止办法之前，数据库管理员有必要先了解一下其攻击的原理。 这有利于管理员采取有针对性的防治措施。 　一、 SQL注入攻击的简单示例。 　　statement := SELECT * FROM Users WHERE Value= + a_variable + 　　上面这条语句是很普通的一条SQL语句，他主要实现的功能就是让用户输入一个员工编号然后查询 处这个员工的信息。但是若这条语句被不法攻击者改装过后，就可能成为破坏数据的黑手。如攻击者在 输入变量的时候，输入以下内容SA001’;drop table c_order--。那么以上这条SQL语句在执行的时候 就变为了SELECT * FROM Users WHERE Value= ‘SA001’;drop table c_order--。 　　这条语句是什么意思呢?‘SA001’后面的分号表示一个查询的结束和另一条语句的开始。c_order 后面的双连字符 指示当前行余下的部分只是一个注释，应该忽略。如果修改后的代码语法正确，则服 务器将执行该代码。系统在处理这条语句时，将首先执行查询语句，查到用户编号为SA001 的用户信息 。然后，数据将删除表C_ORDER(如果没有其他主键等相关约束，则删除操作就会成功)。只要注入的SQL 代码语法正确，便无法采用编程方式